Hacker Triều Tiên giả danh công ty Việt Nam, Nhật Bản và Mỹ để phát tán phần mềm độc hại

Mới đây, BlueNoroff, nhóm hacker trực thuộc Lazarus Group do Triều Tiên tài trợ, đã chuyển hướng tấn công sang các công ty đầu tư (VC), startup trong mảng tiền điện tử và ngân hàng. Theo phòng an ninh Cybersecurity từ Kaspersky, nhóm tội phạm đã gia tăng hoạt động trong năm 2022 và sẽ đổi mới cách tấn công của mình trong năm tới.

BlueNoroff introduces new methods bypassing MoTWhttps://t.co/C6q0l1mWqo

— Pentesting News (@PentestingN) December 27, 2022

Được biết, BlueNoroff đã tạo hơn 70 tên miền giả mạo các công ty đầu tư và ngân hàng. Đa số là công ty nổi tiếng từ Nhật Bản, Mỹ và Việt Nam.

Ngoài ra, nhóm tin tặc còn thử nghiệm nhiều tệp tin và phương pháp phân phối phần mềm độc hại (maleware) mới. Đáng chú ý, phần mềm độc hại mới sẽ “trốn” các cảnh báo bảo mật Mark-of-Web của Windows, sau đó ngăn các giao dịch chuyển tiền điện tử lớn, thay đổi địa chỉ người nhận và chỉnh hạn mức rút tiền lên mức tối đa. Điều này có thể rút cạn tiền người dùng trong một giao dịch.

Seongsu Park, nhà nghiên cứu đến từ Kaspersky cảnh báo: "2023 sẽ là năm ảnh hưởng bởi dịch bệnh mạng với những hậu quả khôn lường. Công ty doanh nghiệp nên cảnh giác hơn bao giờ hết".

#BlueNoroff stole millions in #crypto, but how did they do it? 💰

Check out the #APT group's new #malware strains 👉 https://t.co/NK6Yt0HQ6S pic.twitter.com/3VudIbu3jU

— Kaspersky (@kaspersky) December 27, 2022

Phương thức tấn công của nhóm hacker

Có một nạn nhân ở UAE đã bị tấn công bằng tài liệu Word độc hại. Nạn nhân nhận được một tệp tài liệu có tên “Shamjit Client Details Form.doc” vào ngày 02/09/2022, với đường dẫn C:\Users\[username]\Desktop\SALES OPS [redacted]\[redacted]\Signed Forms & Income Docs\Shamjit Client Details Form.doc

Đánh giá từ đường dẫn tệp, nạn nhân là một nhân viên trong bộ phận bán hàng chịu trách nhiệm ký kết hợp đồng. Khi khởi chạy, tài liệu độc hại kết nối với máy chủ từ xa và tải xuống. Trong trường hợp này, tệp thực thi ieinstal.exe đã được sử dụng để bỏ qua UAC.

• URL từ xa:  https://bankofamerica.us[.]org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
• Đường dẫn tải trọng đã tạo: %Profile%\cr.dat
• Lệnh: cmd.exe %Profile%\cr.dat 5pKwgIV5otiKb6JrNddaVJOaLjMkj4zED238vIU=

Sau lần lây nhiễm ban đầu, hacker đã kiểm soát máy tính và sử dụng bàn phím để điều khiển các chương trình. Đồng thời, lấy dấu vân tay của nạn nhân và cài đặt thêm phần mềm độc hại có đặc quyền cao.

Một trong những phương pháp khác mà nhóm BlueNoroff thường sử dụng là lưu trữ ZIP với tệp lối tắt. Tệp lưu trữ gần đây có chứa tài liệu giải mã được bảo vệ bằng mật khẩu và tệp lối tắt có tên "Password.txt.lnk".

Đây là chiến lược của BlueNoroff nhằm thuyết phục nạn nhân thực thi tệp phím tắt độc hại để lấy mật khẩu của tài liệu mồi nhử. Tệp lưu trữ mới nhất (MD5 1e3df8ee796fc8a13731c6de1aed0818) được phát hiện có tên tệp tiếng Nhật là 新しいボーナススケジュール.zip (tiếng Nhật có nghĩa là“Lịch trình thưởng mới”), cho thấy họ quan tâm đến các mục tiêu Nhật Bản.

Đánh cắp tiền điện tử là một hoạt động kinh doanh có lãi đối với các tin tặc Triều Tiên. Theo dữ liệu từ các cơ quan gián điệp Hàn Quốc, kể từ năm 2017, có hơn 1,2 tỷ USD tiền điện tử bị đánh cắp. Vào năm 2022, một số công ty nổi tiếng, bao gồm cả FTX, cũng bị tấn công mạng.

Trước đó, Bộ Tài chính Mỹ và FBI từng nhiều lần cáo buộc Lazarus Gorup là thủ phạm của vụ hack cầu nối Ronin thiệt hại hơn 600 triệu USD hồi tháng 3.

VIC Crypto tổng hợp

Tin tức liên quan:

Triều Tiên sử dụng tiền "thu lượm" từ các vụ hack crypto để phát triển vũ khí hạt nhân

Hacker “nghị lực” trộm 311 triệu USD Bitcoin của FBI

Băng đảng ma túy khét tiếng toàn cầu rửa hàng triệu USD thông qua Binance